Seguimos con Prelude IDS / IPS. En la primera parte vimos como instalar y configurar todo el sistema, en la segunda parte instalamos un sensor snort remoto.
Recordaréis que como servidor web instalamos LighTTPD. Eso es así porque, en su momento (no soy ningún experto en GNU/Linux), tuve algún problema para configurar el gestor de sensores Prewikka con apache2. Solventado los problemas, vamos a configurar Prelude para Apache. De esta forma la gestión será más completa, tendremos acceso a las estadísticas gráficas, etc, etc.
Modificado 9-04-2011. Se añade una imagen con el contenido del archivo /etc/apache2/sites-available/prewikka
Si ya habéis instalado LighTTPD, paramos el servicio y desistalamos. Una hecho esto seguimos.
Si tenéis apache2 instalado pues adelante y si no, pues seguimos los pasos cada uno según le convenga.
En este caso, aunque no es necesario, he montado todo de nuevo en otro host.
Instalación de paquetes necesarios para funcionamiento Apache2 y Prewikka.
Instalamos apache2, en mi caso he instalado lo siguiente:
- apache2
- apache2.2-common
- apache2.2-mpm-prefork
- apache2-utils
Además nos hará falta instalar:
- libapache2-mod-python
Creamos el archivo /etc/apache2/sites-available/prewikka editamos y añadimos lo siguiente:
En mi caso he desactivado 000-default y activado el sitio prewikka:
a2dissite 000-default (deshabilitamos este sitio)
a2ensite prewikka (habilitamos el sitio prewikka)
apache2ctl restart (reiniciamos servicio)
Una vez reiniciado el servicio apache ya podemos accerder a prewikka de la forma:
- http://localhost/ o http://192.168.1.96/ (desde otro host distinto)
Además he personalizado la interface (pinchar para agrandar)d esde /etc/prewikka/prewikka.conf:
Podemos accecder a los distintos tipos de estadísticas gráficas desde statistics:
Los sensores correctamente configurados. Añadiremos algunos más como:
- Prelude-correlator
- Suricata
- Nagios
- …. etc,
Arriba tenemos los sensores locales y abajo snortsensor (recordad que lo instalamos desde el host remoto 192.168.1.106 en el capítulo 2) que es el sensor remoto snort:
=======
Hasta aquí por hoy. Hasta la próxima que segurimos con Prelude.
Seguridad y Redes 
Otra vez, disculpa mi torpesa, pero ahora en apache no carga la pagina que colocas en la foto.
Aqui paso el log de apache
Disculpa Mautricio. Pero La plantilla nireblog a la hora de editar se ha comido algunos caracteres. Lo que tienes que poner en el archivo prewikka lo tienes en el mismo articulo que acabo de modificar añadiendo una imagen con lo que tienes que poner.
.
Luego en /etc/prewikka/prewikka.conf tienes que asegurarte del pass para acceso a mysql. Por defecto creo que pone prelude pero debes cambiarlo y poner el mismo pàss que tenga /etc/prelude-manager/prelude-manager.conf donde dice:
# Password used to connect the database.
pass = loquesea
este es el que tienes que poner en prewikka.conf en donde dice:
type: mysql
host: localhost
user: prelude
#pass: prelude
pass: loquesea
name: prelude
Con esto debería estar solucionado.
Saludos,
Amigo, disculpa la retirada, hoy tengo tiempo libre y me dispuse a resolver el fallo para conectar.
Ya por fin me entra el prewikka, pero no se ve bien, como que le hace falta los estilos, pero por lo menos ya logro entrarme.
Gracias otra vez.
Un detalle, es que no me entra como localhost/prewikka
Mas bien, solo con colocar localhost, supongo que ahi es donde esta el problema.
Vere si preparo un equipo para dicho cometido, ya que me interesa tener una forma de visualizar facilmente todo lo que ocurre en mi red.
Hola Mauricio,
Me alegro que te vaya ya todo mejor. Pues si, tal como verá sen el artículo, he configurado apache / prewikka para que se accesible desde http://localhost/
Saludos,
Hola, tengo que decir, muchas gracias ha sido el único tutorial que me ha funcionado, muchas gracias de nuevo, pero tengo un problema, instale todo como lo indica, pero después de entrar al entorno Web no me sale prácticamente ninguna información… doy clic en agentes y me aparece el «agente-manage» y en status «missing» y prelude-lml no me aparece, no se que error estoy cometiendo.
Cuando instale el prelude-lml lo resgistre y me aparece que esta al parecer bien
«prelude-lml root root 61767236583733 idmef:w 3708022672193373
prelude-manager prelude prelude 3708022672193373 n/a n/a»
Espero me pueda ayudar
Pude arreglar el problema :), tenia primero que cerrar la terminal que tenia abierta cuando estaba registrando el agente prelude-lml, y paso siguiente obligar el inicio de estos servicios tanto de «prelude-manage» como del «prelude-lml» con estos comandos:
/etc/init.d/prelude-manage start
/etc/init.d/prelude-lml start
Si alguien tiene el mismo problema mio ahí está la solución, de nuevo muchisimas gracias porque gracias a esta pagina puede por fin instalar el IDS.
Otra pregunta, por ahí vi que también se puede colocar trabajar un sensor en Windows? pues aparece una aplicacion Win32 de «libprelude» no se si sea un agente para Windows y si lo es usted sabe como hacerlo trabajar con Windows y Prelude, o para que trabaje con Windows tocará colocar como sensor a OSSEC
Hola Mauricio,
El sitio principal de prelude está caído y en algunas listas indican que están redefiniendo el proyecto con el patrocinante. Sabes alguna noticia al respecto?. O sabes en que otra parte se puede conseguir los fuentes y la documentación?
Saludos y Gracias
Jesús A. Suárez y Mauricio,
El sitio de prelude-ids efectivamente está caído desde hace ya bastante tiempo, más de lo normal. De cualquier forma, desde
«apt-get install» podeis instalar sin problema todos los paquetes y utilidades de Prelude-IDS. Las fuentes creo que también están por ahí, por ejemplo, para «prelude-manager» revisad este enlace: https://launchpad.net/ubuntu/+source/prelude-manager/1.0.1-3
Saludos,
Disculpad las dudas, pero me he quedado con la miel en los labioss…
apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName
He seguido todos los pasos al pie de la letra, pero nada. Agradecería ayuda o alguna orientación.
Saludos y gracias por el blog, especialmente por este pedazo de post 🙂
es un problema con la versión de python. Aquí el log de apache:
[Tue Sep 25 21:44:27 2012] [notice] Apache/2.2.16 (Debian) configured — resuming normal operations
[Tue Sep 25 21:44:32 2012] [notice] Graceful restart requested, doing restart
[Tue Sep 25 21:44:32 2012] [error] (9)Bad file descriptor: apr_socket_accept: (client socket)
apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName
[Tue Sep 25 21:44:32 2012] [notice] Apache/2.2.16 (Debian) configured — resuming normal operations
[Tue Sep 25 22:54:31 2012] [notice] caught SIGTERM, shutting down
[Tue Sep 25 23:29:44 2012] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch configured — resuming normal operations
[Tue Sep 25 23:30:57 2012] [notice] Graceful restart requested, doing restart
[Tue Sep 25 23:30:57 2012] [error] (9)Bad file descriptor: apr_socket_accept: (client socket)
apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName
[Tue Sep 25 23:30:59 2012] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch configured — resuming normal operations
[Tue Sep 25 23:31:00 2012] [notice] child pid 16288 exit signal Segmentation fault (11)
[Tue Sep 25 23:31:00 2012] [notice] child pid 16289 exit signal Segmentation fault (11)
(…)
[Tue Sep 25 23:42:16 2012] [notice] SIGHUP received. Attempting to restart
apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName
[Tue Sep 25 23:42:16 2012] [error] python_init: Python version mismatch, expected ‘2.6.5+’, found ‘2.6.6’.
[Tue Sep 25 23:42:16 2012] [error] python_init: Python executable found ‘/usr/bin/python’.
[Tue Sep 25 23:42:16 2012] [error] python_init: Python path being used ‘/usr/lib/python2.6/:/usr/lib/python2.6/plat-linux2:/usr/lib/python2.6/lib-tk:/usr/lib/python2.6/lib-old:/usr/lib/python2.6/lib-dynload’.
[Tue Sep 25 23:42:16 2012] [notice] mod_python: Creating 8 session mutexes based on 150 max processes and 0 max threads.
[Tue Sep 25 23:42:16 2012] [notice] mod_python: using mutex_directory /tmp
[Tue Sep 25 23:42:16 2012] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_python/3.3.1 Python/2.6.6 configured — resuming normal operations
[Tue Sep 25 23:42:39 2012] [error] [client 127.0.0.1] File does not exist: /etc/apache2/htdocs
[Tue Sep 25 23:43:06 2012] [error] [client 127.0.0.1] File does not exist: /etc/apache2/htdocs
Agradecería muco cualquier tipo de orientación,
saludos 🙂
victor, gracias por visitar mi blog. miraré ese error y te cuento. Saludos.
Yo tengo el mismo problema :%